Datenschutz ist Chefsache - SACHSEN-ANHALT Handreichung für die Geschäftsleitung von Unternehmen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz ist Chefsache
Handreichung für die Geschäftsleitung
von Unternehmen
SACHSEN-ANHALT
Landesbeauftragter
für den DatenschutzDatenschutz ist Chefsache – Handreichung für die Geschäftsleitung von Unternehmen Auflage: 1. Auflage, Februar 2015 Herausgeber: Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt Inhalt 1 Schutz von personenbezogenen Daten.......................................................... 2 2 Pflichten der verantwortlichen Stelle ............................................................. 4 3 Datenschutzmanagement ................................................................................. 6 4 Der betriebliche Datenschutzbeauftragte .................................................... 8 5 Auftragsdatenverarbeitung ............................................................................ 10 6 Maßnahmen zur Datensicherheit ................................................................. 12 7 Kunden und Geschäftspartner ....................................................................... 14 8 Beschäftigtendatenschutz ............................................................................... 16 9 Videoüberwachung ........................................................................................... 19 10 Das Unternehmen im Internet ....................................................................... 20 Anhang A Auswahl datenschutzrelevanter Vorschriften ........................................... 22 B Informationsquellen.......................................................................................... 23
Vorwort
Liebe Leserin, lieber Leser,
Sie sind Unternehmer, Geschäftsführer, gehören dem
Vorstand eines Unternehmens an oder befinden sich
in einer ähnlich verantwortlichen Position? Dann sind
Sie Ansprechpartner zum Thema „Datenschutz ist
Chefsache“.
Datenschutz ist ein komplexes Thema, das jedes Un-
ternehmen betrifft. Oftmals wird sich mit dem Thema
Datenschutz zu spät oder nur unzureichend auseinandergesetzt. Datenschutz ist
Grundrechtsschutz! Die Verantwortung zur Einhaltung der Normen zum Daten-
schutz trägt die Geschäftsleitung, auch wenn die Umsetzung notwendiger Maß-
nahmen durch entsprechende Mitarbeiter ausgeführt wird.
Sie als Mitglied der Geschäftsleitung sind dafür verantwortlich, dass in Ihrem Un-
ternehmen der Datenschutz Beachtung findet, eingehalten und umgesetzt wird.
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt unterstützt und berät
Sie dabei gern. Er ist Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen
Bereich.
Datenschutz scheint Kosten zu verursachen, führt jedoch grundsätzlich zu erhebli-
chen Vorteilen. Denn Datenschutz schafft Vertrauen bei Kunden und Geschäfts-
partnern sowie bei den Beschäftigten. Dies schafft positive Öffentlichkeitswirkung,
stärkt die Kundenbindung und trägt zur Wettbewerbsfähigkeit Ihres Unterneh-
mens bei.
Diese Handreichung soll Ihnen als Orientierungshilfe bei der Durchführung not-
wendiger Maßnahmen zur Umsetzung von Datenschutz und Datensicherheit
sowie als Leitfaden zur Selbstüberprüfung dienen.
Die Broschüre wird Ihnen nicht den Blick in das Bundesdatenschutzgesetz (BDSG)
oder vorrangige Gesetze, die besondere datenschutzrechtliche Sachverhalte regeln,
ersparen. Im Gegenteil: Die Handreichung soll Sie animieren, sich dem Datenschutz
offensiv zu widmen und zu prüfen, welche Vorschriften speziell in Ihrem Unter-
nehmen zu beachten und umzusetzen sind. Letztlich zum Wohle Ihres Unterneh-
mens.
Dr. Harald von Bose
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
In der Broschüre werden am Seitenrand die zutreffenden Paragrafen aus den jeweils an-
zuwendenden Gesetzen angezeigt. Die Lesart der Abkürzung „§ 1 II 3 BDSG“ lautet „Para-
graf 1 Absatz 2 Satz 3 des Bundesdatenschutzgesetzes“.
11 Schutz von personenbezogenen Daten
Welche Ziele hat der Datenschutz?
Das Grundgesetz der Bundesrepublik Deutschland sichert jedermann das
allgemeine Persönlichkeitsrecht zu. Dazu gehört das Grundrecht auf in-
formationelle Selbstbestimmung. Jeder kann über Preisgabe und Verwen-
dung seiner persönlichen Daten grundsätzlich selbst entscheiden. Zweck
§ 1 I BDSG des Bundesdatenschutzgesetzes ist es, den Einzelnen davor zu schützen,
dass er durch den Umgang mit seinen personenbezogenen Daten in sei-
nem Persönlichkeitsrecht beeinträchtigt wird. Datenschutz gewährleistet
insofern, dass nur zulässige Daten natürlicher Personen auf sparsame
Weise für die vorgesehenen (Geschäfts-)Zwecke sicher verwaltet werden.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Einzelangaben über persönliche oder
§ 3 I BDSG
sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen
Person.
Für den Umgang mit besonderen Arten personenbezogener Daten gelten
§ 3 IX BDSG
zusätzliche Beschränkungen. Diese sind Angaben über die rassische und
ethnische Herkunft, politische Meinungen, religiöse oder philosophische
§ 28 VI-IX BDSG
Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualle-
ben.
Was ist Datenverarbeitung?
Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung
§ 3 II BDSG
personenbezogener Daten unter Einsatz von IT-Systemen. Erheben ist das
§ 3 III BDSG
Beschaffen von Daten über den Betroffenen. Verarbeiten ist nach dem
§ 3 IV BDSG
Erheben das Speichern, Verändern, Übermitteln, Sperren und Löschen
personenbezogener Daten. Speichern ist das Erfassen, Aufnehmen oder
Aufbewahren personenbezogener Daten auf einem Datenträger zum
Zweck ihrer weiteren Verarbeitung oder Nutzung. Verändern ist das in-
haltliche Umgestalten gespeicherter personenbezogener Daten. Übermit-
teln ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung
gewonnener personenbezogener Daten an einen Dritten, sodass die Daten
entweder weitergegeben werden oder zur Einsicht oder zum Abruf bereit-
2gehalten werden. Sperren ist das Kennzeichnen gespeicherter personen-
§ 3 IV BDSG
bezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzu-
schränken. Löschen ist das Unkenntlichmachen gespeicherter Daten.
Anonymisieren ist das Verändern personenbezogener Daten derart, dass
§ 3 VI BDSG
die Einzelangaben über persönliche oder sachliche Verhältnisse nicht
mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit,
Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürli-
chen Person zugeordnet werden können. Pseudonymisieren ist das Erset-
§ 3 VIa BDSG
zen des Namens und anderer Identifikationsmerkmale durch ein Kennzei-
chen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder
wesentlich zu erschweren.
Wer ist verantwortlich?
Jedes Unternehmen, das personenbezogene Daten insbesondere automa-
tisiert erhebt, verarbeitet und nutzt, hat die Bestimmungen zum Daten-
schutz einzuhalten und ist verantwortliche Stelle im Sinne des Gesetzes
§ 3 VII BDSG
bei der Anordnung und Umsetzung von Datenschutzmaßnahmen und
deren Kontrolle. Zugleich sind auch die Beschäftigten, die mit der Verar-
§ 5 BDSG
beitung der personenbezogenen Daten betraut sind, in gewissem Maße
mitverantwortlich.
Wer kontrolliert die Einhaltung?
Der Betroffene als Träger des Grundrechts auf informationeller Selbstbe-
stimmung übt im Rahmen der Eigenkontrolle seine Rechte aus, indem er
§ 34 BDSG
Auskunft über seine Daten beantragt und Berichtigung, Sperrung oder
§ 35 BDSG
Löschung seiner Daten erwirkt.
Das Unternehmen trägt im Rahmen der Selbstkontrolle die Verantwor-
§ 4f BDSG
tung, organisiert den Datenschutz, bedient sich dabei gegebenenfalls des
betrieblichen Datenschutzbeauftragten und schützt die personenbezoge-
nen Daten entsprechend den gesetzlichen Vorgaben, insbesondere des
Bundesdatenschutzgesetzes.
Der Landesbeauftragte berät die Unternehmen in Datenschutzfragen. Als
§ 38 I BDSG
Aufsichtsbehörde überprüft er im Rahmen der Fremdkontrolle die Einhal-
§ 38 V BDSG
tung der Datenschutzvorschriften, unterbindet unzulässige Verfahren und
§§ 43, 44 BDSG
kann Bußgelder verhängen oder Strafanträge stellen.
32 Pflichten der verantwortlichen Stelle
Generell haben Unternehmensleitungen darauf zu achten, dass der ge-
samte Umgang mit personenbezogenen Daten rechtmäßig ist. Dazu sind
besonders wichtige Grundsätze einzuhalten.
Zulässigkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist
§ 4 I BDSG
nur zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvor-
schrift dies erlaubt. Soweit keine Erlaubnisvorschriften aus speziellen Ge-
setzen angewendet werden können, sind die des Bundesdatenschutzge-
setzes zu prüfen. Ein Umgang mit Daten, der weder durch Rechtsvorschrif-
ten noch durch eine Einwilligung erlaubt wird, ist unzulässig.
Datensparsamkeit
Es sind so wenig personenbezogene Daten zu erheben, zu verarbeiten oder
§ 3a BDSG
zu nutzen, wie zur Durchführung der Unternehmenstätigkeiten benötigt
werden. Wenn möglich, sind Daten zu anonymisieren oder pseudonymi-
sieren. Daten, die nicht mehr gebraucht werden, müssen gelöscht werden,
§ 35 II BDSG
wenn dem keine Aufbewahrungsfristen entgegenstehen.
Zweckbindung
Der Grundsatz der Zweckbindung soll gewährleisten, dass Daten nur für
den Zweck verarbeitet werden, für den sie erhoben worden sind. Daher ist
die anlasslose Sammlung personenbezogener Daten auf Vorrat unzulässig.
Der Zweck der jeweiligen Datenerhebung ist festzustellen und sollte aus
Beweisgründen schriftlich dokumentiert werden. Eine Verarbeitung ab-
§ 4a BDSG
weichend vom ursprünglichen Zweck ist möglich, wenn eine Einwilligung
des Betroffenen vorliegt oder das Gesetz es ausdrücklich zulässt. In der
§ 28 II BDSG
Praxis ist Vorsicht immer dann geboten, wenn unterschiedliche Bestände
von personenbezogenen Daten verknüpft werden sollen.
Direkterhebung
§ 4 II BDSG
Personenbezogene Daten sind mit wenigen Ausnahmen direkt beim Be-
troffenen selbst zu erheben.
4Informationspflichten
Datenschutz erfordert Transparenz. Daher legt das Bundesdatenschutzge-
setz Informationspflichten an unterschiedliche Adressaten fest. Im Fall der
Direkterhebung ist der Betroffene über die verantwortliche Stelle und den
§ 4 III BDSG
Zweck der Erhebung, Verarbeitung und Nutzung zu unterrichten. Häufig
ist der Betroffene unverzüglich zu informieren, wenn seine Daten un-
rechtmäßig übermittelt oder auf sonstige Weise Dritten zur Kenntnis
§ 42a BDSG
gelangt sind und dadurch schwerwiegende Beeinträchtigungen für seine
Rechte oder schutzwürdige Interessen drohen. In diesen Fällen ist zusätz-
lich der Landesbeauftragte für den Datenschutz zu informieren, insbeson-
dere auch über im Unternehmen getroffene Abhilfemaßnahmen.
Auskunftsanspruch des Betroffenen
Auf Verlangen des Betroffenen ist sein allgemeiner Auskunftsanspruch zu
beachten. Danach hat die verantwortliche Stelle unentgeltlich Auskunft zu
§ 34 BDSG
erteilen über die zu seiner Person gespeicherten Daten und weitere im
Gesetz näher ausgeführte Umstände, wie den Datenempfänger und den
Speicherungszweck.
Berichtigung, Löschung und Sperrung
Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Zu
§ 35 BDSG
löschen sind sie insbesondere dann, wenn sie für die Erfüllung des Zwecks
der Speicherung nicht mehr erforderlich sind und keinen Aufbewahrungs-
§ 257 HGB
pflichten unterliegen. Daten, die für den ursprünglichen Zweck nicht mehr
erforderlich sind, aber nicht gelöscht werden dürfen, müssen gesperrt
werden.
Leistung von Schadensersatz
Das Bundesdatenschutzgesetz enthält eine eigenständige Haftungsnorm, § 7 BDSG
die neben vertraglichen und anderen gesetzlichen Haftungsnormen gilt. § 823 BGB
Sie setzt eine unzulässige oder unrichtige Erhebung, Verarbeitung oder
Nutzung personenbezogener Daten voraus. Die Ersatzpflicht trifft die
verantwortliche Stelle. Sie entfällt, wenn diese darlegen und ggf. beweisen
kann, dass sie kein Verschulden trifft.
53 Datenschutzmanagement
Datenschutz als Führungsaufgabe
In allen Wirtschaftsunternehmen – unabhängig von Größe und Branche –
stellt sich die Frage, ob die Wahrnehmung der Aufgaben des Datenschut-
zes intern so organisiert und geregelt ist, dass die gesetzlichen Vorgaben
des Datenschutzes eingehalten werden. Bei den Unternehmensleitungen
§ 3 VII BDSG
liegt die Gesamtverantwortung. Datenschutz ist insoweit Führungsaufga-
be und damit Chefsache. Zu klärende Einzelfragen sind z. B.:
• Sind die Zuständigkeiten im Unternehmen in Bezug auf Datenschutz
und Datensicherheit geklärt?
• Muss oder sollte ein betrieblicher Datenschutzbeauftragter bestellt
§ 4f BDSG
werden? Kann die Aufgabe ein Unternehmensangehöriger wahrneh-
men oder muss ein externer Datenschutzbeauftragter bestellt werden?
• Ist sichergestellt, dass die gesetzlich geforderten Dokumentationen
erstellt und vorgehalten werden?
• Ist sichergestellt, dass die Beschäftigten, die mit Datenverarbeitung
§ 5 BDSG
befasst sind, auf das Datengeheimnis verpflichtet wurden und sind sie
für ihre Aufgabe ausreichend geschult?
• Sind ausreichende Kontrollmechanismen implementiert?
Meldepflicht und Verfahrensverzeichnis
Verfahren automatisierter Verarbeitungen sind vor Inbetriebnahme der
§ 4d BDSG
Aufsichtsbehörde zu melden. Die Einzelangaben der Meldepflicht ergeben
§ 4e BDSG
sich aus dem Bundesdatenschutzgesetz. Diese Meldepflicht kann in
Kleinstbetrieben oder bei Bestellung eines betrieblichen Datenschutzbe-
auftragten entfallen. Allerdings muss das Unternehmen in diesem Fall die
§ 4g II BDSG
Angaben dem betrieblichen Datenschutzbeauftragten vorlegen. Dieses
Verfahrensverzeichnis dient der internen Selbstkontrolle und soll dem
Datenschutzbeauftragten seine Prüf- und Kontrolltätigkeiten erleichtern.
Außerdem ermöglicht es ihm, wesentliche Angaben für jedermann auf
Antrag verfügbar zu machen.
6Datengeheimnis
Das Datengeheimnis beinhaltet das Verbot für die bei der Datenverarbei-
§ 5 BDSG
tung beschäftigten Personen, unbefugt personenbezogene Daten zu erhe-
ben, zu verarbeiten oder zu nutzen. Unternehmensleitungen haben dafür
zu sorgen, dass dieser Personenkreis bei der Aufnahme seiner Tätigkeit auf
das Datengeheimnis verpflichtet wird. Dies sollte zu Beweiszwecken
schriftlich erfolgen. Auch Personen, die personenbezogene Daten lediglich
zur Kenntnis nehmen können, sollten verpflichtet werden.
Risikoanalyse und Schutzbedarf
Wichtig ist, dass ein Unternehmen sich der eigenen Risiken bzgl. des Um-
gangs mit personenbezogenen Daten bewusst wird. Dazu ist eine Risiko-
analyse erforderlich, die zunächst feststellt, in welchen Bereichen des
Unternehmens mit welchen personenbezogenen Daten umgegangen
wird. Anschließend muss ermittelt werden, wie die Daten geschützt sind.
Bedarf das Unternehmen zur Feststellung der Gefährdungspotenziale der
fachlichen Unterstützung oder kann es sie selbst feststellen? Ist der be-
stehende Schutz ausreichend oder sind weitere technische und organisa-
torische Maßnahmen erforderlich?
Bergen automatisierte Verarbeitungen besondere Risiken für die Rechte § 4d V BDSG
und Freiheiten der Betroffenen, so ist vor Beginn der Verarbeitung in der
Regel eine rechtliche und technische Vorabkontrolle durchzuführen. Dies
gilt unter anderem bei besonderen Arten personenbezogener Daten.
Interne Regelungen
Jedes Unternehmen hat eigene Geschäftsabläufe und Strukturen und
verfügt über unterschiedliche personenbezogene Daten. Dafür sollten
Unternehmensleitungen zur Konkretisierung gesetzlicher Vorgaben Rege-
lungen treffen, die für die Mitarbeiter verbindlich sind und eindeutig den
Umgang mit personenbezogenen Daten bestimmen. Aufgaben und je-
weilige Verantwortlichkeiten sollten genau dokumentiert werden. Derar- § 77 BetrVG
tige Regelungen können durch Betriebsvereinbarungen unterstützt wer-
den.
74 Der betriebliche Datenschutzbeauftragte
Bestellung
§ 4f I BDSG
Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn
personenbezogene Daten durch mindestens 10 Personen automatisiert
oder durch mindestens 20 Personen auf andere Weise erhoben, verarbei-
tet oder genutzt werden. Unterliegen Verfahren einer Vorabkontrolle, ist
ebenfalls ein betrieblicher Datenschutzbeauftragter zu bestellen. Dies gilt
auch, wenn personenbezogene Daten geschäftsmäßig zum Zweck der
Übermittlung, der anonymisierten Übermittlung oder für Zwecke der
Markt- oder Meinungsforschung automatisiert verarbeitet werden. In
jedem Fall hat die Bestellung schriftlich zu erfolgen und nicht später als
§ 43 I Nr. 2 BDSG
einen Monat nach Aufnahme der Tätigkeit. Wer diese Frist versäumt,
begeht eine Ordnungswidrigkeit.
Fachkunde
Zum betrieblichen Datenschutzbeauftragten darf nur bestellt werden, wer
§ 4f II BDSG
die erforderliche Fachkunde für diese Aufgabe besitzt. Er muss also das
Bundesdatenschutzgesetz, die einschlägigen speziellen datenschutzrecht-
lichen Regelungen und die Spezialvorschriften seines Fachbereichs kennen
und sicher anwenden können. Außerdem sollte er über grundlegende
Kenntnisse über die Unternehmensorganisation und Informationstechnik
verfügen. Diese Mindestkenntnisse müssen bereits bei seiner Bestellung
vorliegen. Der betriebliche Datenschutzbeauftragte hat Anspruch auf
§ 4f III BDSG
Fortbildung.
Interessenkonflikte
Der betriebliche Datenschutzbeauftragte ist Kontrollinstanz im Unter-
nehmen und zugleich zur Verschwiegenheit verpflichtete Vertrauensper-
son als „Vermittler“ zwischen den Interessen der Geschäftsleitung, der
Beschäftigten und der Betroffenen.
Diese Funktion kann kaum wahrgenommen werden, wenn der Daten-
schutzbeauftragte auch noch Aufgaben auf den Gebieten Personalverwal-
tung, Informationstechnik oder Verarbeitung besonders sensibler perso-
8nenbezogener Daten erfüllt. Es ist vor der Bestellung zu prüfen, ob es zu
solchen Interessenkonflikten kommen könnte.
Ausstattung
Der betriebliche Datenschutzbeauftragte hat, soweit dies für eine ord-
§ 4f V BDSG
nungsgemäße Aufgabenerfüllung erforderlich ist, Anspruch auf geeignete
Arbeitsräume, Einrichtungen und Mittel oder deren Mitnutzung. Bei der
Ausübung seiner Tätigkeit hat ihn das Unternehmen zu unterstützen.
Nach dem Gesetz ist ihm, wenn die Fülle seiner Aufgaben es gebietet,
Hilfspersonal zur Verfügung zu stellen.
Tätigkeit und Aufgaben
Durch Gesetz sind die Aufgaben des betrieblichen Datenschutzbeauftrag-
§ 4g BDSG
ten benannt: Vertrautmachen des Personals mit den einschlägigen daten-
schutzrechtlichen Vorschriften und Hinwirken auf die Einhaltung dieser
Vorschriften, Überwachung der Datenverarbeitungsprogramme, mit de-
nen personenbezogene Daten verarbeitet werden, Vorabkontrolle der für
die Rechte der Betroffenen besonders risikoreichen Datenverarbeitungen,
Verfügbarmachen des Verfahrensverzeichnisses für jedermann. In daten-
schutzrechtlichen Fragen kann er die Unternehmensleitung durch seine
gezielte Beratung auch aktiv unterstützen. Dazu sollte der betriebliche
Datenschutzbeauftragte von datenschutzrelevanten Planungen des Un-
ternehmens rechtzeitig unterrichtet werden. Betroffene können sich je-
§ 4f V BDSG
derzeit an ihn wenden.
Verantwortung und Rechte
Der betriebliche Datenschutzbeauftragte ist der Unternehmensleitung
§ 4f III BDSG
direkt zu unterstellen und im Rahmen seiner Aufgabenwahrnehmung
weisungsfrei. Er kann sich an den Landesbeauftragten wenden, der ihn § 4g I BDSG
§ 38 I BDSG
berät und unterstützt.
Er darf wegen seiner Aufgabenwahrnehmung nicht benachteiligt werden.
§ 4f III BDSG
Seine Kündigung ist nur aus wichtigem Grund möglich.
95 Auftragsdatenverarbeitung
Viele Unternehmen bedienen sich zur Abwicklung des Umgangs mit per-
sonenbezogenen Daten externer Dienstleister. Werden solche tätig, sind
datenschutzrechtlich zwei Konstellationen möglich. Es handelt sich ent-
weder um eine Auftragsdatenverarbeitung oder um eine Funktionsüber-
tragung.
Wenn dem Dienstleister eigenständige rechtliche Zuständigkeiten zuge-
wiesen werden, liegt eine Funktionsübertragung vor. Beispiel: Eigenständi-
ge Kundenbefragungen durch Institute. Bei der Funktionsübertragung
wird der Dienstleister verantwortliche Stelle im Sinne des Bundesdaten-
schutzgesetzes. Der Datenaustausch darf hier nur erfolgen, wenn die
rechtlichen Voraussetzungen einer Datenübermittlung erfüllt sind.
Im Auftrag der verantwortlichen Stelle
Eine eigentliche Auftragsdatenverarbeitung, die nicht an die hohen Vo-
§ 11 BDSG
raussetzungen einer Datenübermittlung gebunden ist, liegt nur dann vor,
wenn der Auftraggeber Herr der Daten bleibt und der Auftragnehmer bzgl.
der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten
ausschließlich weisungsgebunden handelt. Der Auftragnehmer darf hier-
bei die Daten nicht zu eigenen Zwecken erheben, verarbeiten oder nutzen.
Bei der Auftragsdatenverarbeitung bleibt allein der Auftraggeber die ver-
§ 3 VII BDSG
antwortliche Stelle. Beispiel: Archivieren von Daten; Entsorgung von Daten
durch Löschen oder Vernichten; Auslagerung der Gehaltsabrechnung.
Rahmenbedingungen
Im Falle der Auftragsdatenverarbeitung hat der Auftraggeber den Auf-
tragnehmer unter besonderer Berücksichtigung der Eignung der von ihm
getroffenen technischen und organisatorischen Maßnahmen sorgfältig
§ 11 II BDSG
auszuwählen. Der Auftrag ist schriftlich zu erteilen und muss diverse Fest-
legungen enthalten, insbesondere über Umfang und Zweck, den Kreis der
Betroffenen, die Schutzmaßnahmen, die Pflichten des Auftragnehmers
und die Kontrollrechte des Auftraggebers. Vor Beginn der Datenverarbei-
tung und sodann regelmäßig hat der Auftraggeber den Auftragnehmer
auf Einhaltung erforderlicher technischer und organisatorischer Maß-
nahmen zu kontrollieren.
10Unternehmen, die Fernwartungsarbeiten durchführen, sind wie Auftrag- § 11 V BDSG
nehmer einer Auftragsdatenverarbeitung zu behandeln, soweit der Zugriff
auf personenbezogene Daten nicht ausgeschlossen werden kann.
Auftragnehmer im Ausland
Befindet sich der Auftragnehmer im Ausland, ist zu unterscheiden, ob er
sich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirt-
schaftsraumes (EWR) oder in einem sogenannten Drittstaat befindet.
§ 4b I BDSG
Innerhalb der EU bzw. des EWR sind die Vorschriften des Bundesdaten-
schutzgesetzes anzuwenden. Bei Auftragsvergabe an Auftragnehmer in § 4b II BDSG
Drittstaaten sind besondere Bedingungen zu beachten. Wichtig ist insbe- § 4c BDSG
sondere, sicherzustellen, dass in dem Drittstaat ein angemessenes Daten-
schutzniveau gewährleistet wird.
Cloud Computing als Spezialfall
Ein spezieller Fall der Auftragsdatenverarbeitung ist das Cloud Computing,
welches eine Bereitstellung von IT-Infrastruktur, wie z. B. Speicherkapazi-
tät, und Software als Serviceleistung beinhalten kann.
Zu warnen ist insbesondere vor der Nutzung von Cloud-Diensten, die einer
breiten Öffentlichkeit ohne individuelle vertragliche Gestaltung zur Verfü-
gung stehen und damit keine Möglichkeit eines schriftlichen Vertrags im
Sinne der Auftragsdatenverarbeitung eröffnen.
Bei Cloud-Anbietern aus Drittstaaten ist oft nicht klar, in welchen Staaten
die Server stehen, auf denen die Daten gespeichert sind. Damit ist auch
ungewiss, welchem Datenschutzniveau die Infrastruktur unterliegt. Es
sollten daher nur Cloud-Anbieter genutzt werden, die verlässliche Aus-
kunft darüber geben können, wo der Server steht, sich vertraglich binden
und kontrollieren lassen.
116 Maßnahmen zur Datensicherheit
Nachfolgend werden die in der Anlage zum Bundesdatenschutzgesetz
§ 9 BDSG
erwähnten erforderlichen technischen und organisatorischen Mindest-
Maßnahmen bei der automatisierten Datenverarbeitung beschrieben.
Die Aufzählung ist nicht abschließend. Angesichts der Risiken durch
moderne Datenverarbeitung sind weitergehende Sicherheitsmaßnah-
men oftmals geboten.
Zutrittskontrolle
Unbefugten ist der Zutritt zu den Datenverarbeitungsanlagen zu ver-
Anl. § 9 Nr. 1 BDSG
wehren, z. B. durch den Einsatz von Alarmanlagen, Schließsystemen oder
die Überwachung der Räume und ihren Eingangsbereichen.
Zugangskontrolle
Die unbefugte Nutzung der Datenverarbeitungssysteme ist zu verhin-
Anl. § 9 Nr. 2 BDSG
dern, z. B. durch die Authentifikation mit sicheren Passwörtern oder
biometrischen Merkmalen sowie den Einsatz von Virenschutzlösungen
und Firewalls. Die Verschlüsselung von Inhalten und Datenträgern kann
die vorgenannten Maßnahmen verstärken.
Zugriffskontrolle
Nur berechtigte Personen sollen die ihnen freigegebenen personenbe-
Anl. § 9 Nr. 3 BDSG
zogene Daten verarbeiten und nutzen können, währenddessen Unbe-
rechtigte diese Daten weder lesen noch verändern dürfen. Dies wird z. B.
erreicht durch das Erstellen von Berechtigungskonzepten, die Verwal-
tung der Nutzerrechte von wenigen Systemadministratoren, die Durch-
setzung strenger Passwortrichtlinien mit regelmäßigem Passwortwech-
sel, den Einsatz von Verschlüsselungsverfahren, die Protokollierung von
DIN 66399
Datenzugriffen sowie die sichere Aufbewahrung und Vernichtung von
Datenträgern.
Weitergabekontrolle
Bei der Übertragung und Speicherung dürfen personenbezogene Daten
Anl. § 9 Nr. 4 BDSG
nicht gelesen, kopiert, verändert oder entfernt werden können. Der Emp-
fänger dieser Daten muss jederzeit bekannt sein. Dies wird z. B. erreicht
12durch den Einsatz von virtuellen privaten Netzwerken (VPN), die Weiter-
gabe der Daten in anonymisierter oder pseudonymisierter Form, die
Verwendung einer Transport- oder Inhaltsverschlüsselung vor der Über-
tragung. Beim Transport von Datenträgern sind sichere Transportbehäl-
ter und zuverlässiges Transportpersonal vorzusehen.
Eingabekontrolle
Die Kontrolle der Eingabe, Veränderung und Entfernung von personen-
Anl. § 9 Nr. 5 BDSG
bezogenen Daten wird z. B. erreicht durch das Erstellen individueller
Benutzerkennungen zusammen mit der Protokollierung aller Lese-,
Schreib- und Löschvorgänge in Logdateien.
Auftragskontrolle
Die Sicherstellung der Auftragsdatenverarbeitung nach Weisung des
Anl. § 9 Nr. 6 BDSG
Auftraggebers wird z. B. erreicht durch die Prüfung der Dokumentation
der getroffenen Sicherheitsmaßnahmen, die Verpflichtung der Mitarbei-
§ 11 II BDSG
ter des Auftragnehmers auf das Datengeheimnis, die Sicherstellung der
Datenvernichtung nach Auftragsbeendigung.
Verfügbarkeitskontrolle
Daten müssen gegen zufällige Zerstörung oder Verlust geschützt wer-
Anl. § 9 Nr. 7 BDSG
den, z. B. durch den Einsatz von Klimaanlagen, unterbrechungsfreier
Stromversorgung, Feuer- und Rauchmeldeanlagen, die Erstellung eines
Datensicherungs- und Wiederherstellungskonzepts sowie eines Notfall-
plans, die Aufbewahrung von Sicherungskopien an einem geschützten
Ort. Nach Möglichkeit sollte redundante IT-Infrastruktur vorgehalten
werden.
Datentrennung
Die Gewährleistung der getrennten Verarbeitung von zu unterschiedli-
Anl. § 9 Nr. 8 BDSG
chen Zwecken erhobenen Daten wird z. B. erreicht durch physikalisch
getrennte Speicherung auf gesonderten Infrastrukturen oder getrennte
Datenverarbeitung in mandantenfähigen Umgebungen mit strenger
Rechtevergabe im Datenbankmanagementsystem.
137 Kunden und Geschäftspartner
Kunden und Geschäftspartner haben einen gesetzlichen Anspruch darauf,
dass die Mitarbeiter der Unternehmen die maßgeblichen datenschutz-
§§ 27 ff. BDSG
rechtlichen Vorschriften kennen, beachten und anwenden. Diese befinden
sich vor allem im dritten Abschnitt des Bundesdatenschutzgesetzes.
Umgang mit Kundendaten
Der Umgang mit personenbezogenen Daten der Kunden ist grundsätzlich
immer dann zulässig, wenn und soweit jedes einzelne Kundendatum zur
Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses
mit dem Kunden im Rahmen der Erfüllung eigener Geschäftszwecke er-
forderlich ist. Weitere Möglichkeiten einer zulässigen Verwendung von
§ 28 I BDSG
Kundendaten ergeben sich aus dem Gesetz.
Umgang mit Daten von Geschäftspartnern
Die Befugnis des Umgangs mit Kundendaten lässt sich nicht gänzlich auf
den Umgang mit Daten der Geschäftspartner übertragen. Aber auch jeder
§ 28 I BDSG
weitere Gebrauch personenbezogener Daten, z. B. der Mitarbeiter der
Geschäftspartner, muss von einer datenschutzrechtlichen Vorschrift ge-
deckt sein. Firmendaten ohne Personenbezug unterliegen nicht dem Da-
tenschutz.
Werbung
Abhängig davon, ob Bestands- oder Neukunden beworben oder ob per
Briefpost oder per E-Mail geworben werden sollen, ist eine Vielzahl von
Vorschriften zu beachten.
Grundsätzlich darf ein Kunde bzw. potentieller Kunde nicht ohne seine
§ 28 III BDSG
Einwilligung zum Zwecke der Werbung angesprochen werden. Die Einwil-
ligung sollte schriftlich erfolgen und beweiskräftig dokumentiert sein.
Erfolgt sie elektronisch, sollte eine zusätzliche elektronische Bestätigung
zur Feststellung der Identität eingeholt werden.
Bei listenmäßig oder sonst zusammengefassten Daten einer Personen-
§ 28 III 2 BDSG
gruppe (Name, Adresse, Titel, akademischer Grad, Anschrift, Geburtsjahr,
Berufs-, Branchen- und Geschäftsbezeichnung sowie einem hinzu zu spei-
14chernden Datum) ist die Nutzung und Weitergabe insbesondere für Brief-
§ 28 III 6 BDSG
werbung auch ohne Einwilligung möglich, solange der Empfänger nicht
widerspricht oder der Werbung seine schutzwürdigen Interessen entge-
§ 28 IV 2 BDSG
genstehen. Auf das Widerspruchsrecht ist der Kunde spätestens bei der
Ansprache zur Werbung hinzuweisen. Widerspricht der Kunde der Verar-
§ 28 IV 1 BDSG
beitung oder Nutzung seiner Daten für Zwecke der Werbung oder der
Markt- oder Meinungsforschung, ist diese unzulässig.
Werbung per E-Mail und Telefax wird grundsätzlich als „unzumutbare
§ 7 II UWG
Belästigung“ eingestuft und ist daher nur mit ausdrücklicher Einwilligung
erlaubt. Eine Ausnahme besteht im Falle der E-Mail-Werbung, wenn Be-
§ 7 III UWG
standskunden für eigene ähnliche Produkte beworben werden. Sie müssen
bei Erhebung und jeder Verwendung der E-Mail-Adresse auf ihr Wider-
spruchsrecht hingewiesen werden und dürfen nicht schon widersprochen
haben.
Werbung per Telefon gegenüber Verbrauchern ist ausschließlich zulässig
§ 7 II UWG
bei vorheriger ausdrücklicher Einwilligung. Telefonate zu Zwecken der
Markt- und Meinungsforschung dürfen nicht mit der Frage nach der Ein-
willigung in die Telefonwerbung verbunden werden.
Kundenrechte
Wenn ein Unternehmen personenbezogene Daten über potentielle Kun-
den ohne ihre Kenntnis, z. B. im Adresshandel, speichert, ist es in der Regel
§ 33 I BDSG
verpflichtet, den Kunden darüber zu benachrichtigen. Weitere Kunden-
§ 34 BDSG
rechte sind das Recht auf Auskunft und das Recht auf Berichtigung, Lö-
§ 35 BDSG
schung und Sperrung.
Bonitätsanfragen
Bonitätsanfragen zu (potentiellen) Kunden bzw. Geschäftspartnern an
§ 28 I BDSG
eine Auskunftei müssen für ein konkretes Geschäft erforderlich sein. Ihr
Gegenstück, die Weitergabe von Kundendaten über eine nicht erfüllte
Forderung an Auskunfteien, ist nur zulässig, soweit die geschuldete Leis-
§ 28a I BDSG
tung trotz Fälligkeit nicht erbracht wurde, die Übermittlung zur Wahrung
berechtigter Interessen erforderlich ist und weitere im Gesetz genannte
Voraussetzungen erfüllt sind.
158 Beschäftigtendatenschutz
§ 32 BDSG
Die grundlegende gesetzliche Regelung zum Umgang mit Beschäftigten-
daten findet sich im Bundesdatenschutzgesetz. Betriebsvereinbarungen
§ 77 BetrVG
sind ein wichtiges ergänzendes Instrument zur Ausgestaltung des gesetz-
lichen Rahmens der Beschäftigtendatenverarbeitung. Eine Einwilligung
des Beschäftigten zum Umgang mit seinen Daten kann in wenigen Fällen
zugrunde gelegt werden, wenn sie auf einer freien Entscheidung beruht.
§ 4a BDSG
Die Entscheidungsfreiheit ist wegen der existenziellen Bedeutung des
Arbeitsverhältnisses jedoch oft nicht gegeben. Die Einwilligung kann nur
dann wirksam sein, wenn dem Mitarbeiter für den Fall der Versagung der
Einwilligung keine Nachteile drohen und kein „Druck“ ausgeübt wird.
Rechtsgrundlagen der Datenverarbeitung
Die Begründung, Durchführung oder Beendigung von Beschäftigungsver-
§ 32 I BDSG
hältnissen erfordert eine begrenzte Datenverwendung. Allgemein erlaubt
ist die Erhebung, Verarbeitung oder Nutzung von Daten von Bewerbern
oder Beschäftigten als Grundlage der Personalverwaltung und Personal-
wirtschaft.
§ 28 VI BDSG Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbe-
§ 3 IX BDSG zogener Daten, z. B. Gesundheitsdaten, ist nur in engen Grenzen zulässig.
Erforderlichkeit der Daten
Die Erforderlichkeit ergibt sich aus einer umfassenden Abwägung der
legitimen Interessen des Arbeitgebers und der schutzwürdigen Interessen
des Arbeitnehmers. Zulässig ist die Datenverwendung für eigene Zwecke
§ 32 I BDSG
des Arbeitgebers zur Erfüllung des konkreten Arbeitsverhältnisses. Der
Zweck wird u. a. bestimmt durch den Arbeitsvertrag, Tarifregelungen und
gesetzliche Anforderungen.
Vom Fragerecht des Unternehmers an einen Bewerber ausgeschlossen
sind unspezifische Fragen nach strafrechtlichen Ermittlungsverfahren.
Fragen nach Verurteilungen wegen Straßenverkehrsdelikten wären zuläs-
sig, wenn ein Kraftfahrer gesucht wird. Fragen nach Vermögensdelikten in
Bezug auf einen Einsatz als Kassierer wären ebenfalls zulässig. Daten zum
Bewerber oder Beschäftigten dürfen nur bedingt bei Dritten erhoben wer-
16den. Die Erkundigung bei ehemaligen Arbeitgebern kann unter besonde-
ren Voraussetzungen zulässig sein. Recherchen in sozialen Netzwerken
sind dagegen zumeist bedenklich.
Daten können erhoben, verarbeitet und genutzt werden für Entgeltbe-
rechnungen, Leistungsbeurteilungen oder zur Feststellung von Krankheits-
tagen, Eingruppierungen, Umsetzungen oder im Rahmen weiterer sozia-
ler, personeller, organisatorischer bzw. betrieblicher Maßnahmen. Ein
legitimes Anliegen des Arbeitgebers kann unter Umständen eine nach
Ankündigung erfolgte stichprobenartige Leistungskontrolle zur Qualitäts-
sicherung sein. Nicht vom Verarbeitungszweck erfasst sind in der Regel
telefonische Auskünfte zu Personaldaten an Verwandte, Freunde und
Bekannte oder die Nutzung der Privatanschrift des Mitarbeiters für Wer-
bung.
Veröffentlichung von Mitarbeiterdaten
Vor der Veröffentlichung von Mitarbeiterdaten im Internet sollte der Be-
troffene die Möglichkeit erhalten, persönliche Belange dagegen vorzutra-
gen. Denn die Konsequenzen einer weltweiten Veröffentlichung sind für
den Einzelnen nicht immer absehbar. Grundsätzlich gilt, dass Daten von
Mitarbeitern der Leitungsebene und von Mitarbeitern mit Außenkontak-
ten im dafür erforderlichen Maße veröffentlicht werden dürfen. Diese
Daten umfassen in der Regel den Namen, die Funktion sowie betriebliche
Telefonnummer und E-Mail-Adresse. Persönliche Daten wie z. B. der beruf-
liche Werdegang und insbesondere Fotos dürfen dagegen grundsätzlich
nur mit Einwilligung des Betroffenen veröffentlicht werden. Bei Fotos gilt § 22 KunstUrhG
das Recht am eigenen Bild.
Ermittlungen
Ermittlungstätigkeiten des Arbeitgebers sind nur begrenzt zulässig. Die § 32 I 2 BDSG
Erhebung bzw. Verarbeitung von Beschäftigtendaten ist möglich, wenn
der Beschäftigte aufgrund zu dokumentierender tatsächlicher Anhalts-
punkte einer Straftat im Beschäftigungsverhältnis verdächtig ist. Das Vor-
gehen des Arbeitgebers muss insgesamt verhältnismäßig sein. Dies gilt
insbesondere für präventive Kontrollvorhaben, die mit betroffenen Persön-
lichkeitsrechten abzuwägen sind.
17Mitarbeiterüberwachung
Eine permanente Überwachung ist grundsätzlich verboten.
Eine Videoüberwachung der Mitarbeiter in öffentlich zugänglichen Räu-
§ 6b BDSG
men kann in engen Grenzen zulässig sein. Ebenfalls in sehr engen Grenzen
kann eine Beobachtung in nicht öffentlich zugänglichen Räumen möglich
§ 28 BDSG
sein. Unter Berücksichtigung des Verhältnismäßigkeitsprinzips (Überwa-
§ 32 BDSG
chungsdruck, Intensität der Beobachtung) sind in Einzelfällen überwie-
gende Arbeitgeberinteressen (Sicherheit, Arbeitsorganisation) denkbar,
wenn weniger einschneidende Maßnahmen nicht in Betracht kommen.
Eine Beobachtung ist kenntlich zu machen.
Ob und vor allem inwieweit eine Lokalisierung von externen Mitarbeitern
durch Ortung von Handys oder mittels GPS in Fahrzeugen zulässig ist,
hängt vom Arbeitsvertrag, den konkreten Arbeitsbedingungen, besonde-
ren Anforderungen (Fahrzeiten und Anwesenheitszeiten für Abrechnun-
gen, Transportplanung usw.) und hinreichender Einschränkung zum
Schutz der Mitarbeiter (keine Erfassung von Privatem, keine Rundumkon-
trolle, nur zeitweise Einschaltung usw.) ab. Eine heimliche Ortung ist un-
zulässig.
Protokolldaten der Internet- und E-Mail-Nutzung sowie der Anmeldung im
§ 31 BDSG
Netzwerk oder der Arbeit im Dokumentenmanagementsystem dürfen
nicht zur Verhaltens- oder Leistungsüberwachung der Mitarbeiter ver-
wendet werden. Allerdings ist bei tatsächlich vorliegenden Anhaltspunk-
ten für einen Verstoß gegen die Nutzungsgrundsätze eine Kontrolle im
Einzelfall möglich.
189 Videoüberwachung
Die Beobachtung öffentlich zugänglicher Räume mit Videotechnik ist nur
§ 6b BDSG
unter bestimmten Bedingungen erlaubt, damit es nicht zu einer Verlet-
zung des Persönlichkeitsrechts des Einzelnen durch eine ständige Be-
obachtung kommt. Dabei ist es zunächst unerheblich, ob dabei eine Auf-
zeichnung erfolgt.
Der öffentlich zugängliche Raum
Unter öffentlich zugänglichen Räumen sind nicht nur öffentliche Gebäu-
de, Plätze und Straßen zu verstehen, sondern auch Teile von Privatgrund-
stücken und -gebäuden, die dafür vorgesehen sind, von beliebigen Perso-
nen betreten zu werden, wie z. B. Geschäfte, Banken, Tankstellen, Park-
häuser, Hotels, Restaurants, Wartezimmer usw. Dabei ist es unerheblich,
ob die Person ein Entgelt zum Betreten zu entrichten hat, z. B. als Gast im
Kino. Zu beachten ist, dass Wege, die zu einer Klingel oder einem Briefkas-
ten führen, in der Regel als öffentlich zugängliche Räume anzusehen sind.
Alle anderen Bereiche eines als solchen erkennbaren Privatgrundstücks
oder Firmengeländes, insbesondere Räume hinter geschlossenen Türen,
wie z. B. Produktionsstätten, sind keine öffentlich zugänglichen Räume.
Zweck, Verhältnismäßigkeit, Kennzeichnung
Eine Videoüberwachung öffentlich zugänglicher Räume ist nur zur Gel-
§ 6b I Nr. 2 BDSG
tendmachung des Hausrechts oder für konkret festgelegte Zwecke zur
§ 6b I Nr. 3 BDSG
Wahrnehmung eines berechtigten Interesses zulässig, z. B. zum Beweis
von Sachbeschädigung oder Diebstahl. Das berechtigte Interesse muss
dabei belegbar sein, z. B. durch Nachweis wiederholter Schädigungen. Eine
§ 6b III BDSG
Beobachtung ist nur zulässig, wenn keine milderen Mittel das Schutzziel
gewährleisten können. Bei der Einrichtung einer Videoüberwachung ist
zudem das Interesse des Betroffenen am Schutz der Privatsphäre gegen-
über den verfolgten Zwecken des Beobachters abzuwägen. Bei zulässiger
Videoüberwachung hat eine geeignete Kennzeichnung, z. B. durch Hin-
§ 6b II BDSG
weisschilder, unter Benennung der verantwortlichen Stelle zu erfolgen.
§ 6b V BDSG
Aufgezeichnete Videosignale sind umgehend zu löschen, wenn sich keine
Erkenntnisse aus den Aufzeichnungen für die verfolgten Zwecke ergeben.
Die Beobachtung eines höchstpersönlichen Bereiches wie Umkleidekabi-
§ 201a StGB
nen oder Toiletten ist generell untersagt.
1910 Das Unternehmen im Internet
Die Unternehmenswebseite
Viele Unternehmen präsentieren sich mit einer eigenen Webseite im In-
ternet. Unabhängig davon, ob nur das Unternehmen beworben wird oder
direkt Waren oder Dienstleistungen über das Internet angeboten werden,
sind verschiedene rechtliche Vorgaben zu beachten.
§ 5 I TMG
Das auch als Anbieterkennzeichnung bezeichnete Impressum dient dazu,
den Nutzer der Webseite über den Anbieter der Webseite zu informieren.
Dazu sind unter anderem Name und Anschrift des Unternehmens, bei
juristischen Personen zusätzlich die Umsatzsteueridentifikationsnummer,
die Rechtsform und der Vertretungsberechtigte zu nennen. Auch Angaben,
die eine schnelle elektronische Kontaktaufnahme und unmittelbare
Kommunikation ermöglichen, einschließlich der Adresse der elektroni-
schen Post, gehören dazu und sind leicht erkennbar, unmittelbar erreich-
bar und ständig verfügbar zu halten.
§ 13 I TMG
Immer dann, wenn über den Internetauftritt personenbezogene Daten
erhoben werden, ist eine Datenschutzerklärung erforderlich. Diese muss
den Nutzer genau darüber informieren, welche personenbezogenen Daten
zu welchem Zweck gespeichert oder verwendet werden. Werden Cookies
verwendet, die eine spätere Identifizierung ermöglichen, ist der Nutzer
ebenfalls zu unterrichten. Der Inhalt der Unterrichtung muss jederzeit
abrufbar sein. Personenbezogene Daten dürfen nur dann erhoben und
verwendet werden, wenn dies entweder durch Gesetz ausdrücklich er-
§ 12 I TMG
laubt ist oder der Nutzer eingewilligt hat.
Vor der Verwendung externer Links, die auf fremde Internetangebote ver-
weisen, sollten diese genau auf strafrechtlich relevante Inhalte geprüft
und die Prüfung in regelmäßigen Abständen wiederholt werden. Außer-
dem sind externe Links entsprechend zu kennzeichnen, damit der Nutzer
§ 13 V TMG
die Weiterleitung zu einem anderen Diensteanbieter erkennen kann.
20Soziale Netzwerke
Soll das Unternehmen in sozialen Netzwerken präsentiert werden, um
breitere Kundenkreise zu erreichen, ist jedoch auch hier zu beachten, dass
die gesetzlichen Regelungen des Telemediengesetzes und des Bundesda-
tenschutzgesetzes eingehalten werden müssen. Das ist insbesondere bei
den großen sozialen Netzwerken mit Sitz außerhalb Europas nicht immer
möglich.
Sogenannte Social Plugins wie der Gefällt-mir-Button von Facebook, der
g+1-Button von Google+ oder der Tweet-Button von Twitter sollten nicht
direkt in die Unternehmenswebseite eingebunden werden, da hierbei
Nutzerdaten auch dann an Facebook, Google und Twitter übermittelt
werden, wenn der Nutzer den Button gar nicht anklickt. Deshalb wird
empfohlen, eine 2-Klick-Lösung einzusetzen, bei der zunächst deaktivierte
Buttons auf der Webseite eingebunden werden, die keinen Kontakt mit
den Servern sozialer Netzwerke, wie Facebook und Google+, herstellen.
Erst wenn der Nutzer diese aktiviert und damit seine Zustimmung erklärt,
werden die Buttons aktiv und stellen die Verbindung her.
Eine weitere Möglichkeit ist die Einbindung eigener, individuell gestalteter
Buttons, bei denen die Kommunikation mit den sozialen Netzwerken ein
auf dem Server des Webseitenbetreibers abgelegtes Skript übernimmt.
Erst wenn der Nutzer einen Button betätigt, entsteht eine direkte Verbin-
dung und Nutzerdaten werden übertragen.
E-Mail und Internet am Arbeitsplatz
Es ist auf jeden Fall zu empfehlen, die Nutzung von Internet und E-Mail am
Arbeitsplatz intern, z. B. durch eine Betriebsvereinbarung, zu regeln. Dabei
sollten die Grundsätze der Nutzung festgelegt werden, vor allem ob die
Nutzung nur zu rein betrieblichen oder auch für private Zwecke zulässig
ist. Erfahrungsgemäß werden u. a. aus Gründen der Datensicherheit sol-
che Nutzungen protokolliert. Bei erlaubter privater Nutzung ist sowohl für
die damit verbundene Protokollierung als auch für die Einsichtnahme des
§ 4a BDSG
Arbeitgebers in das E-Mail-Postfach eine schriftliche Einwilligung von den
Mitarbeitern einzuholen.
21A Auswahl datenschutzrelevanter Vorschriften
Das Strafgesetzbuch stellt u. a. die Verletzung der Vertraulichkeit und das
§§ 201-203 StGB
Ausspähen von Daten sowie die Missachtung der Wahrung von Geheim-
nissen unter Strafe.
Im Bürgerlichen Gesetzbuch wird u. a. die Ausgestaltung allgemeiner Ge-
§ 305 BGB
schäftsbedingungen geregelt.
§ 35 SGB I
Im Sozialgesetzbuch wird u. a. geregelt, dass jedermann einen Anspruch
auf Wahrung des Sozialgeheimnisses hat.
§ 77 BetrVG
Das Betriebsverfassungsgesetz benennt die Betriebsvereinbarungen als
vertragliche Regelungen zwischen Unternehmen und Betriebsrat mit
normativem Charakter.
§ 7 UWG
Im Gesetz gegen den unlauteren Wettbewerb wird Werbung per E-Mail
und Telefon in der Regel als unzumutbare Belästigung verboten.
Das Telemediengesetz regelt u. a. die Einwilligung und das Widerrufsrecht
§ 13 TMG
der Datenerfassung bei der Nutzung von Telemediendiensten.
§ 88 TKG
Das Telekommunikationsgesetz regelt die Wahrung des Fernmeldege-
heimnisses bei der Telekommunikation.
§ 22 KunstUrhG
Das Kunsturhebergesetz regelt die Verbreitung und Veröffentlichung von
Bildnissen der eigenen Person.
Weitere relevante Gesetze, die Regelungen zum Datenschutz enthalten,
sind die Abgabenordnung (AO), das Genossenschaftsgesetz (GenG), das
Handelsgesetzbuch (HGB), das Personalausweisgesetz (PAuswG), die Sozi-
algesetzbücher (insbesondere I und X) sowie das Versicherungsvertrags-
gesetz (VVG) u. v. m.
22B Informationsquellen
Internetseiten
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt:
http://www.datenschutz.sachsen-anhalt.de
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
http://www.bfdi.bund.de
Virtuelles Datenschutzbüro der Datenschutzbeauftragten des Bundes und
der Länder: http://www.datenschutz.de
Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de
Themensammlung der Zeitschrift für Datenschutz:
http://rsw.beck.de/CMS/?toc=ZD.120
Arbeitskammer des Saarlandes – Datenschutz im Betrieb:
http://www.arbeitskammer.de/publikationen/online-
broschueren/datenschutz-im-betrieb-stand-82012.html
Broschüren der Bundesbeauftragten für den Daten-
schutz und die Informationsfreiheit – BfDI*
BfDI-Info 1: Bundesdatenschutzgesetz – Text und Erläuterung, 2014.
BfDI-Faltblatt: Datenschutz – meine Rechte, 2014.
BfDI-Info 4: Die Datenschutzbeauftragten in Behörde und Betrieb, 2011.
BfDI-Info 5: Datenschutz und Telekommunikation, 2013.
BfDI: Adresshandel und unerwünschte Werbung.
BfDI-Faltblatt: Surfen Am Arbeitsplatz – Datenschutz-Wegweiser, 2013.
* auch online verfügbar
Orientierungshilfe der Datenschutzbeauftragten des
Bundes und der Länder zur Videoüberwachung
http://lsaurl.de/videooh
Internet am Arbeitsplatz: http://lsaurl.de/internetoh
23Eigene Notizen 24
Die Beiträge dieser Broschüre sind sorgfältig recherchiert und entsprechen dem aktuellen Stand. Abweichungen durch seit Drucklegung geänderte Gesetze sind nicht auszuschließen. Impressum Herausgeber: Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt Leiterstr. 9, 39104 Magdeburg PF 1947, 39009 Magdeburg Tel. (0391) 81803-0 Fax (0391) 81803-33 www.datenschutz.sachsen-anhalt.de poststelle@lfd.sachsen-anhalt.de Druck: Der Landtag von Sachsen-Anhalt PDF-Version: http://lsaurl.de/chefsache
Diese Handreichung ist eine Orientierungs-
hilfe für Unternehmen bei der Umsetzung von
Datenschutz und Datensicherheit sowie ein
Leitfaden zur Selbstüberprüfung.
www.datenschutz.sachsen-anhalt.de
poststelle@lfd.sachsen-anhalt.deSie können auch lesen
